Instrukcja 27-28.06. 2012 r.
Transkrypt
Instrukcja 27-28.06. 2012 r.
Warszawa. 26 czerwca 2012 r. INSTRUKCJA WYJAZDOWA DLA PRZEDSTAWICIELA POLSKI na posiedzenie grupy roboczej Rady UE ds. Wymiany Informacji i Ochrony Danych (27-28 czerwca 2012 r.) Uzgodniona między następującymi instytucjami: Ministerstwo Administracji i Cyfryzacji. Generalny Inspektor Ochrony Dan\ cli Osobowych. Spraw Ministerstwo Sprawiedliwości. Ministerstwo Gospodarki. Ministerstwo Komunikacji Urząd Statystyczny, Główny Urząd Wewnętrznych. Ministerstwo Zdrowia. Elektronicznej. Stałe Przedstawicielstwo RP pr/v UE. Ministerstwo Spraw Zagranicznych. Data poprzedniego posiedzenia grupy roboczej: 14-15 marca Informacje na temat przedstawicieli Polski na posiedzenie Imię i nazwisko/stanowisko: lnstyiucjalkomórka organizacyjna: Numer telefonu: Adres e-mail: Skład towarzyszącej delegacji: Aleksandra Chmielecka. starszy” specjalista Departament Społeczeństwa Informacyjnego. Ministerstwo Administracji i Cyfryzacji 22 60-155-70 aleksandra.chmieleckWómac.goy.pl Piotr Drobek. Zastępca Dyrektora Departamentu Edukacji Spolecznej i Wspólpracy Międzynarodowej. GIODC) PORZĄDEK OBRAD Approyal of the agenda Debriefing on the negotiations in the Council of Europe Consullati%e Committee of (be Conyention for the Protection of lndiyiduals with regard to Automaic Processing of personal data IETS No. 1081 (T-PD), 28th Plenny meeting, 19-22 June 2012 L Proposal fora regulation of the European Parliament and ofthe Council on the protection of indiyiduals with regard to the processing of personał data and on the free moyement of such data Briefpresentation ofthe Presidency reyision regarding Articles I-9 I 1326/12 DATAIROTECT 75 JAL 423 MI 437 DRS 93 DAPIX 70 FREMP 93 COMJX 380 CODEC 1658 (to be issued) - Letter from the Chair of the Working Party on Statistics 10428/12 DATAPROTECT 65 JAI 360Ml 376 DRS 88 DAPIX 66 FREMP 80 STAT 19 COMIX 327 CODEC 1118 - Article-by articie discussion (Articies 9 and following) - 4. Any other business tnstucja wiod3ca: Ministerstwo Administracji i Cyfryzacji Instytucje wspólpracujce: Generalny Inspektor Ochrony Danych Osobowych. Ministerstwo Gospodarki. Ministerstwo Sprawiedliwości. Ministers(wo Spraw Wcwnętrzn\ch Ministerstwo Zdrowia. (iłówn) Urząd Statystyczn\. Urząd Komunikacji Elektronicznej. Stałe Przedstawicielstwo RP prz\ UE. Ministerstwo Spraw Zagranicznych. . PUNKT 2 AGENDY Debrieflng on the negońations in tlie Council of Europe Coosultatiye Committee of Oie Conyention for the Proteetion of Indiyiduals with regard to Automatic Processing of personał data IETS No. 1081 (T-PD), 2Sth Plenary meeting, 19-22 June 2012 - Stanowisko Polski do zaprezentowania podczas posiedzenia: Delegowany wysłucha sprawozdania z posiedzenia Komitetu W-D i umieści nąjważniejsze wnioski w sprawozdaniu. Dodatkowe elementy stanowiska do przedstawienia w razie potrzeby: Delegowany poprosi Komisję o skonkretyzowanie i w\jaśnienie zidentyfikowanych do tej pory zagrożeń związanych z brakiem zgodności zmienionych zapisów Konwencji Rady Europ\ z obecnym i przyszlyin porządkiem prawnym UE. Delegowany poprosi również Komisję o określenie hanionogramu dalszych prac analitycznych nad kompatybilnością przepisów konwencji Rady Europ) i prawodawstwa UE w t\in zakresie oraz koordynacji prac nad nową Konwencją Rady Europy i pakietem ODO. Delegowany zwróci uwagę. że negocjacje zmiany Konwencji 108 znąjdują się w kompetencji państw członkowskich. PUNKT 3 AGENDY Proposal for a regulation of the European Parłiament and of the Council on the protection of indiyiduals with regard to the processing of personał data and on the free moyement of such data - Briefpresentation ofthe Presidency reyision regarding Articies l-9 Stanowisko Polski do zaprezentowania podczas posiedzenia: Delegowany wysłucha sprawozdaniu. prezentacji PREZ DK i umieści najważmejsze wnioski \% Dodatkowe elementy stanowiska do przedstawienia w razie potrzeby: W razie dyskusji Delegowany zgłosi zastrzeżenie analityczne do przedstawionej propozycji PRE7 DK. -Y Dodatkowe elementy wyl3cznie do wiadomości strony polskiej: PREZ DK przygotowała materiał uwzględniający niektóre ze zgłoszonych przez państwa członkowskie uwag do rozporządzenia. Wprowadzone zmiany obejmują m.in. usunięcie ust. 3 z art. 1: zmianę art. 2 (2a) poszerzenie katalogu wyłączeń ze stosowania rozporządzenia o krytcria takie jak: bezpieczeństwo narodowe, obrona państwa. ochrona interesów ekonomicznych państw a kiedy piielwarzanie danych wiąże się z ochroną bezpieczeństwa: zmianę definicji danych osobowych pod kątem jej większej klaryilkacji: zmianę definicji danych genetycznych i hiomerycznych. a także danych dotyczących zdrowia: rozbudowank i uszczegółowienie definicji dot. głównej siedzib\: dodanie definicji osoby trzeciej oraz usługi społeczeństwa inlormac)jnego: rozszerzenie w art. 6 katalogu zgodności z prawem przetwarzania danych o przypadku określone w an.9 (2) (bkU) oraz art. 80-85. - Przedstawiciel PL na posiedzeniach DAPIX 23-21 lutego oraz M-15 marca 2012 r. w odniesieniu do art. ł-9 zgłaszał następujące uwagi: 1 Art. 6 ust. 1— należy rozważyć cz\ bardziej liberalne podejście do kwestii zmiany celu jest w pełni uzasadnione. Być może dotychczasowe rozwiązania powinn\ zachować swoja aktualność. 2. / satysfakcją należy przyjąć propozycję brzmienia art.? ustępy od 1 do 3. 3. Wątpliwości natomiast budzi treść art. 7 ust. 4. Zdaniem PL należy wyjaśnić co legislator rozumie pod pojęciem ..pouażnej nie;”ównośei mięchu podnimfem durne/z a ad,ninist;otorenP. Wprawdzie wyjaśnia się, że głównie chodzi o sytuację pracownik-pracodawca. natomiast nie jest to jedyna sytuacja regulowana tym przepisem. Pożądanym rozwiązaniem wydaje się być zaproponowanie przykładowego katalogu takich przypadków regulowanych przepisem. 4. Wątpliwość budzi treść art. 8 ust. I. Zdaniem PL jest nie do końca jest jasne. w jaki sposób usługodawca oferujący usługi ma wiarygodnie identyfikować dziecko. Wydaje się. że taki wymóg ciążący na administratorze danych. może w praktyce być niemożliwy do zrealizowania. Wątpliwości budzi czy administrator danych jest upraw mony do wer} żikacji dokumentów rodzicow dziecka. Zdajemy sobie sprawę z [aktu, iż rozstrzygnięcie tej kwestii może powodować trudności, natomiast w związku z t\m PL pragnie zwrócić się do KL / prośbą o w\jaśnienie. czy doprecyzow anie w tym zakresie będzie również przedmiotem regulacji aktu delegowanego z art. 8 ust. 3. W tym kontekście podobną uwagę poczynić należy do art. 8 ust. 4. zgodnie z którym KE może ustanowić wzory możliwej do weryfikacji zgody. Wyjaśnienia również wymaga jakie zasady będą miały zastosowanie do zgody dzieci w odniesieniu do przetwarzania danych poza obszarem usług społeczeństwa intonnacjnego. Na marginesie rodzi się pytanie do KE o ratio legis wodręhnienia kategorii dziecko. zgodnie z Konwencja oprawach dziecka w sytuacji. gdy szczególne regulacje odnoszą się tylko do dzieci w wieku do 13 lat. 5. Uwaga do art. 9 ust. 2: 3 W zwiwku ze stosowanym sformułowaniem ..interes publiczny” pojawia się %ątpliwość. czy w związku z faktem, iż w prawach narodowych państw członkowskich termin ten może być rozumiany odmiennie, przesłanki legalności przetwarzania szczególnych kategorii danych osobowych mogą w związku z tym równicż się różnić. Biorąc pod uwagę powyższe PL pragnie poddać pod rozwagę KL zasadność i ewentualne podjęcie prac nad próbą doprecyzowania tego terminu. Niezależnie od powyższego PL zwraca się z prośbą o wyjaśnienie powodu wyłączenia z katalogu danych wrażliwych (.„offences”) zestawiając brzmienie art. 9 ust. 2 pkt]) projektu rozporządzenia z art. S ust. 5 obecnie obowiązującej dyrektywy. — Dodatkowo w przekazanych do PREZ DK pisemnych uwagach PL wskazywała na stwierdzenia budzące wątpliwości interpretacyjne, wymagające doprecyzowania. takie jak: definicja danych osobowych (sformułowana zbyt szeroko, nie powinna zawierać odwołań do podmiotu danych osobowych). definicja naruszenia danych osobowych. definicja danych hiometrycznych, określenie terminu zakład/siedziba, wymienne stosowanie pojęć s/at/st/cal Fesearch oraz stai/st/cal putposes. \kyłączeń w przetwarzaniu danych do cetów staiystycznych. wymogu pozyskiwania zgody podmiotu danych na przetwarzanie danych osobowych. PL zwróciła się ponadto z pytaniem, czy Komisja analizowała wpływ. jaki rozszerzenie definicji danych osobowych będzie wywierać na sposób prowadzenia działalności telekomunikacyjnej przez przedsiębiorców telekomunikacyjnych oraz innej działalności prowadzonej w łntcrnccie. - Letter from the Chair ofthe Working Party on Statistics Stanowisko Polski do zaprezentowania podczas posiedzenia: Odnosząc się do zaproponowanych przez Przewodniczącego grupy roboczej ds. statystyki zmian Delegowany wyrazi opinię, że rozumiejąc powody zgłoszonych uwag i potrzebę wyłączeń xy niektórych przypadkach do celów statystyki należy wziąć je pod uwagę w trakcie dalszych prac z równoczesnym rozważeniem ich konsekwencji i oceną proporcjonalności. Decyzja o ich uwzględnieniu bądź nieuwzględnieniu powinna zostać poprzedzona pogłębioną analizą. Detegowany już na tym etapie może poprzeć zmianę. by art. 14 ust. 5 lit b) otrzymał treść: ..dane nie są zbierane od podmiotu danych a udzietenie tych informacji. w szczególności w szczególności gdy są przetwarzane dla celów historycznych, statystycznych lub badań naukowych. okazało się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku” Uzasadnienie: W wyjątkach do obowiązku informowania osoby. której dane dotyczą dodano przcpis odwołujący się wprost do statystyki. Obecnie xy Rozporządzeniu napisano: dane nie są zbierane od osoby. której dane dotyczą a udzielenie tych informacji okazało się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Propozycja brzmi: ..dane nie są zbierane od podmiotu danych a udzielenie tych informacji. w szczególności w szczególności gdy są przetwarzane dta celów historycznych. statystycznych lub badań naukowych. okazało się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku 4 W dyrektywie 95/46 (art. 11 ustęp 2) znajduje się taki przepis: Ustęp I nie lnu zastosowania w przypadku gdy. szczegótnie w przypadku przetwarzania danych do celów statystycznych. historycznych luh naukowych dostarczenie takich informacji wymagałoby niewspółmiernie dużego wysiłku lub jeżeli gromadzenie lub ujawnianie informacji jest wyraźnie przewidziane przez prawo. W takich przypadkach Państwa Czionkowskie zapewniają odpowiednie środki zabezpieczające. Dclcgowan\ wyrazi również opinię, że w odniesieniu do statystyki publicznej art. 19 nie będzic miał zastosowania, gdyż te dane są przetwarzane na podstawie przepisów prawa. Dlatego nie ma potrzeby dodawania do art. 19 nowego paragrafu: (Prana listanoliione w cni. /9 uje J/JOlą :ntosaitanuz grA cicuze są zbierauze jecbnie ćlo celon historycznych, stafl”snc:,n”cii lub badań umu,ko”.i”t”ch oraz s”pebuouw ScJ tyJnagcmia art. 83 (iri,”. J Delegowany zada rów nicż pytanie dotyczące hierarchii aktów praw nych. Należy zauważyć. że delegowanie uprawnień w zakresie statystyki. w art. 83. bLtdzi wątpliwości odnośnic hierarchii aktów prawnych UE. Kwestie statystyki regutowane są bowiem przez rozporządzenie 223/2009, które jest w tym zakresie dokumentem ramowym wynikającym z att 338 TEUI. Czy wyłączenia odnoszące się do statystyki w rozporządzeniu ODO dotyczą jedynie statystyki publicznej czy też stosują się do wszystkich innych celów i metod statystycznych? Nie jest również jasne. dlaczego w projekcie rozporządzenia stosuje się wymiennie statis/icy/ research oraz sint/st/cal pioposes Dodatkowe elemenly wylcznie do wiadomości strony polskiei: List przewodniczącego grupy roboczej ds. Statystyki zawiera propozycje zmian do rozporządzenia zgłoszone przez narodowe urzędy statystyczne w raiTnich Europejskiego Systemu Statystycznego. Zaproponowane zmiany obejmują m.in. art. 14-16 oraz art. 18-19 i za\ierają wyłączenia w realizacji przewidzianych w ww. artykułach praw podmiotów danych w przypadku gdy dane są przetwarzane wyłącznie do celów historycznych. statystycznych lub naukowych i gdy spełnione są przesłanki przewidziane w art. 83 ust. 1 (a) (.„W granicach niniejszego rozporządzenia można przetwarzać dane osobowe do celów dokumentacji. statystyki i badań naukowych jedynie wtedy, gdy nie można ich inaczej osiągnąć przez przetwarzanie danych, które nie umożliwia lub przestaje umożliwiać identyflkację osoby, której dane dotyczą). Proponowane zapisy to: Franci ustanowione t aul. /5 /6 /S”J9 nie mają zastosoit cm/a gdy ciaze są zbierane jcdyizw do celów hisrouyc:nyciz. starysn”czun”ch hub bać/ań naukrn tych oraz spel”uione są ui”;uzagauna rit”t. 83 (L-Li Oceniając zaproponowane zmiany można ocenić, że w znacznej mierze wykracząją (art. 14 (SA). ar. 15. art. 16) one poza uregulowania przyjęte obecnie xy Dyrekt\wie (obecny przepis art. 13 ustęp 2) dyrektywy: Z zasirzeżenien; obowiązku znpetuuienia odpo1%/c”dnieo stopnia ochrom” prrninej, w szczególności, a/n dane nie bib” iiiko;”zish”u”ane do podejmowania cizia/ań lub decyzji donyzącuch konkretnych osób, Fańsnia Czlonkoitskie mogą u pi”zrpadku gdy itirańnie nie itistępuje nn*o naruszenia pnąratności osoby, której c/one c/o/uczą, ograniczi”ć przy pomocy środków legis/ac ijmch prana przewidziane u art. 12, gdy dane są przetwarzane wyłącznie do celów badań naukonych lub przechoiniiane są w” formie osohtstej przez okres nie przekraczający okresu koniecznego ni łącznie u celu sporządzenia stah”shk.) Zaproponowane wyłączenia można uznać za zbyt daleko idące ograniczeme praw osoby. której dane dotyczą i ograniczenie np. art. 51 Konstytucji) szczególnie xy kontekście celów naukowych i historycznych. Zmiany w art. 18 wymagają dalszego przeanalizowania. W dyrektywie brak jest przepisów w tej kwestii. Zaproponowane zmiany obejmują również art. 83 (Przetwarzanie do celów dokumentacji. statystyki i badań naukowych) i polegają na dodaniu nowego ustępu: Przepisu oraz n”i”lączenia c/Iti celóii historycznych. stan”sgrcznych oraz badań naukon ich u granicach niniejszego rozporządzenia poiiinm” bić stosoiiane jedynie pod następująci”mi warunkami: a) c/one c/oti”czące jakiekolwiek konkretnej jednostki nie są pm”zehiarzane aby iispierać środki lub decyzje jej donczące, oraz hj dane nie są przetwarzane u laki sposób a/n pon odouiah lub mogh” spouiodować znaczną szkodę lub znaczne niehezpieczeńsnio (cierpienie). Skasowanie ustępu (b) art. 83: W granicach niniejszego rozporządzenia można przetwarzać dane osohcnie c/o celów dokwnentacji, sta/ysh*i i badań naukourychjedunie iitedi”, gcb: W nie mnożna ich inaczej osiągnąć przez przeniarzanie danych, które nie wnożliuiia lub przestaje munożlhtiać identyfikację osoby, której dane dotuczą; bj dane un,ożliutiajqce przypisanie informacji do zidenn/ikowane/ podmiotu damiuch lub do zidentyfikowania, są przechminiane oddzielnie od innych informacji, tak długo jak cele te można osiągnąć ii ten sposób. Zaproponowane zapisy w ai-t. 83 przepisy o ochronie danych. - są zbyt ogólne. niedookreślone i wyłąeząjące w istocie Article-by article discussion (Articles 9 and following) Stanowisko Polski do zaprezentowania podczas posiedzenia: Uwa%i oólne: Delegowany zwróci się z prośbą do Komisji o przedsla\\ienie modelowych kosztów wdrożenia rozporządzenia dla przedsiębiorstw. (a w szczególności dla MSP). Kosiły oszacowane w impact assessment nie odpowiadąją na pytania zgłaszane przez biznes w odniesieniu do implementacji wielu nowych zasad i rozwiązań i związanych z tym kosztami. Uwai szczeEółowe: Art. 9 (Przetwarzanie szczególnych kategorii danych osobowych) Delegowany wskaże, że katalog danych szczególnie chronionych dot. orzeczeń został zbytnio zawężony w ust. 1 poprzez wskazanie wyroków skazujących lub powiązanych środków zabezpieczających. Oznacza to. iż na gruncie nowych nnijnych regulacji do kategorii danych 6 wrażliwych nie będą zaliczane np. dane dotyczące orzeczeń wydanych w postępowaniu administrac\jnym (należą one do danych wrażliwych w obowiązującym prawie polskim >-jak również orzeczeń wydanych \% postępowaniu karnym, które nie są wyrokami skazującymi. np. warunkowego umorzenia postępowania. tymczasowego aresztowania. Delegowany wyrazi uznanie, że xy zaproponowanych przez PREZ DK zmianach do katalogu dainch szezegolnych włączono informacje o przestępstwach (of%ncesi łiezależnie od powyższeo ze względu na formę aktu jakim będzie Rozporządzenie wxdaje się. że pojęcie ..powiązanych środków zabezpieczających powinno być doprecyzowElne Art. 10 (Przetwarzanie nie umożliwiające identyfikacji) Delegowany zwróci się z zapytaniem o zakres i cel stosowania przepisu w kontekście definicji dainch osohow\ch. W odniesieniu do jakich sytuacji przepis może mieć zastosowanie? Uzasadnienie: Art. 10 budzi wątpliwości w kontekście bardzo szerokiej definicji .i/aniyh osobowych”. Trudno odnaleźć relację tych dwóch przepisów. skoro za dane osobowe należy w świetle brzmienia art. I pkt. 2 uznać wszelkie informacje dotyczące podmiotu danych osobowych. literalna wykładania przepisu ai-t. 10 wskazuje. że jeśli jakiekolwiek dane osobowe przetwarzane przez administratora danych nie umożliwiają mu identyfikacji osoby fizycznej, administrator nie ma obowiązku uzyskania dodatkowych informacji w celu identyfikacji podmiolu dan) ch wyląe,nic ze względu na konieczność respektowania przepisu rozporządzenia. Oznacza. to. że dc flcto definicja danych osobowych nic wydaje się tak szeroka, jak wynikać to może z przepisu art. 4 pkt. 2. gdyż dotyczy nie wszelkich danych dotyczących podmiotu. ajedynie takich. które umożliwiają identyfikację podmiotu danych. Należy w\jaśnić sens przepisu i zakres jego stosowania. Należałoby przyjąć, że ma on zastosowanie w sytuacjach, gdy administrator ma do czynienia z danymi. które mogą nie identyfikować podmiotu danych bezpośrednio. co ma w szczególności miejsce w środowisku telekomunikac\jny”m (tiret 21). Art. Ił (Przejrzysta informacja i komunikacja) Delegowany wskaże, że PL popiera potrzebę zapewnienia przejrzystości i czytelności komunikatów i informacji kierowanych do podmiotu danyck Biorąc jednak pod uwagę problemy, jakie mogą się pojawić w związku z niedookreślonym charakterem pojęć takich jak np.: przejrzystość. czytelność, jasny język i jednocześnie uznąjąc potrzebę efektywności stosowania przepisów. PL zasugeruje rozważenie dodania zapisu stanowiącego. że wytyczne w tym zakresie będą przedmiotem prac Europejskiej Rady Ochrony Danych. Uzasadnienie: Kryteria przejrzystości i łatwej dostępności informacji, które powinien zapewnić administrator danych mogą budzić pewne wątpliwości. Nie jest jednak możliwe 7 zdefiniowanie tych kryteriów na poziomie rozporządzenia. dlatego też dobrym rozwiązaniem będzie. jeśli wytyczne w tej sprawie opracuje Europejska Rada Ochrony Danych. Mechanizm weryfikacji realizacji zobowiązań administratorów określonych xy art. II zapewnia również art. 79 ust. 5 lit. a) (sankcje dla administratora, który nie dostarcza informacji w wystarczająco przejrzysty sposób). Ponadto. att. II należy rozumieć jako zasadę ogólną dla kolejnych artykułów określąjących sposób wykonywania przez administratora praw podmiotów danych. Art. 12 (Procedury i mechanizmy wykonywania praw przez podmiot danych) Art. 12 ust. 4 PL pozytywnie prz)jmuje model, zgodnie z którym. co do zasady realizacja prawa dostepu jest bezpłatna. Jednakże konieczne jest w\ważenie interesów i w prowadzenie mechanizmów chroniących administratorów przed cwemualnxmi nadużyciami. Istnieje potrzeba doprecyzowania kr\ terów i warunkow wyraźnie przesadnego charak[eru wniosków na poziomie rozporządzenia. — Dodatkowe infhnnacje do wiadomości strony polskjj: Polska ustawa o ochronie danych osobowych (art.32 ust.5) zawiera przesłankę upływu czasu (osoba zainteresowana może skorzystać z prawa o inFormacji nie częściej niż raz na 6 miesięcy). PL wnioskuje o ykrcśIenie art. 12 ust. 5. W opinii PL akty delegowane w tym przypadku są rozwiązaniem zbyt da[cko idącym. Kryteria przesadnego wniosku powinny być określone na poziomie rozporządzenia jedynie takie rozwiązanie zagwarantuje pewność prawną — Art. 12 ust. 6 PL poz\ t\ wnie prz\jmie możliwość przsjęcia ujednoliconego formularza w formie elektronicznej - Art. 13 (Prawa odbiorców) Wątpliwości PL budzi w\jątek od ogólnego obowiązku informowania przeł administratora. Zdaniem PL konieczne jest wyjaśnienie na poziomie rozporządzenia. co należy rozumieć pod pojęciem ..niewspóbn lenne dużego n”s//ku”. W przeciwnym razie przepis może dawać podstawę do unikania wykonania obowiązku inlbrmowania. Art. 14 (informacje przekazywane podmiotowi danych) art. 14 ust. 5 lit. b) i ust. 6 PL zgłosi wątpliwość odnośnie zapisu: Utępów I-4 nie stosuje się. u p;”apadku gu”y: b) (lanc nie są zbierane od podmiotu danych a udzielenie tych - inJorniacji okazało się niemożliwe lub wymagałoby niewspółmiernie dn żego wysiłku PL zapyta się, na cz\ in tniałah polegać ochrona słLLszflyCh interesow? (ust.6) Podobnie jak w przypadku art. 13 delegat zwróci się o doprecyzowanie .Jiiewspo/uitenzie dużego wisi/kić”. „. Art. 15 (Prawo dostępu przyslugujęce podmiotowi danych) Art. 15 ust. 1 h) Delegowany zwróci się z zapytaniem o w\jaśnienie tego zapisu. Cz\ chodzi w tym zakresie o logikę przetwarzania dan3ch w celach protilowania? -- 8 Art. 16 (Prawo do poprawienia) Dctegowany zasugeruje, aby z uwagi na różne systemy prawne w P.c,L KE dopro\%adiiła do ich harmonizacji na poziomie rozporządzenia lub za pomocą aktu delegowanego. Uzasadnienie: Takie rozwiązanie pozwoli Lifliknąć istniejących między państwami członkowsktmt różnic w zakresie np. tenińnu na poprawienie danych przez administratora. Art. 17 (Prawo do bycia zapomnianym i do usunięcia danych) Delegowany przedstawi wątpliwości odnoszące się do Art. 17: Delegowany zwróci się z zap\taniem. czy art. 17 ma charakter klauzuli generalnej czy proccdur\ ? - Uzasadnienie: W przypadku charakteru klauzuli generalnej to akty detegowane jeśli charakter proceduralny akty delegowane są dopuszczone. są niewskazane natomiast — W zależności od odpowiedzi Komisji na 1-sze pytanie Delegowany przedstawi wątpliwości PL o nieuzasadnionym stosowaniu aktów delegowanych. (Po raz kolejny kwestie o zasadniczun znaczeniu z punktu \udzenia realizacji prawa do bycia zapomnianymi i do usunięcia danych przez podmiot danych. tj. knieria i wymogi w poszczególnych sektorach oraz w szczególnych syttiacjach przetwarzania danych czy też warunki usuwania linków do danych kopii lub replikacji danych osobow3ch z publicznie dostępnych usług łączności. o których mowa w ust. 2. zostały przekazane Komisji Europejskiej do uregulowania w tormie aktów delegowanych zgodnie z art. 86 Bez znajomości całości przepisów składających się na ww. prawa nie sposób jest w pełni odnieść się do tej problematyki. - Realizacja prawa do bycia zapomnianym może nastręczać pewne trudności techniczne. zwłaszcza gdy mowa o przetwarzaniu danych w środowisku internetowym, które z natury umożliw ja dokonywanie nieskończenie wiciu różnych operacji na raz wprowadzonych danych — w przypadku gdy podaje on dane osobowe do Nalożenie na administratora danych wiadomości publicznej i w odniesieniu do danych. za których publikację odpowiada obowiązku poinformowania osób trzecich przetwarzających takie dane, iż podmiot danych wnioskuje o usunięcie linków do danych. kopii lub replikacji tych danych osobowych. może doprowadzić do sytuacji zgoła odwrotnej. tj. do przypomnienia o konkretnym podmiocie dan\ch podmiotom, które incydentalnie i w związku z jednorazową Potrzebą te dane pozyskały. Paradoksalnie zatem możliwy jest scenariusz, iż ..osohy trzecie” (których na - — — - 9 domiar projektodawca nie definiuje) nie przetwarząją już danych osobowych podmiotu danych lub otrzymały odrębny sprzeciw podmiotu danych wobec przetwarzania dotyczących ich danych. w związku z czym powstaje pytania o celowość takiego informowania, które służyć przecież powinno ochronie praw podmiotu danych. — Nic jcst jasne. jak projektodawca unijny wobec braku mechanizmu egzekwowania dziaŁania od osób trzecich widzi możliwość efektywnej realizacji praw podmiotu danych. - — — Nie jest jasne. w jaki sposób wobec braku mechanizmu egzekwowania działania od osob trzecich będzie możliw:a realizacja art. 13. któn nakłada na administratora danych wymóg pointornowania każdego odhiorc, któremu ujawniono dane. o wszelkich operacjach poprawienia lub usunięcia dokonanch zgodnie z art. lb i 17 chba że okaże się to niemożliwe lub będzie wYmagać niewspółmiernie dużego wysiłku. — — - . W art. 17 ust. 3 lit. b) należy doprecyzować sformułowanie .ąmh/ic hecddP. Jednocześnie PL zwraca się z prośbą O wyjaśnienie relacji tego przepisu do przepisu art. 2!. - Art. 18 (Prawo przenoszenia danych) Brak uwag Art. 19 (Prawo wniesienia sprzeciwu) art. 19 ust. 1 Delegowany poprosi o doprecyzowanie w motywie pojęcia ..u”a±nyclz / „:aad;7;on,oln”ch poć/s/cm pr:ehtarzanźa, któ;”e moją charakret nodrzęcim” iiobec interesów hib podslallO1Ii”ch pron” i ilOhZOSci podmiotu dam cli” Delegowany poprosi o dodanie w art. 19 informacji, że podmiot danych ma prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych nieodpłatnie. Taka informacja jest zawarta w ust. 2. brakuje jej natomiast w ust. I. Art. 19 ust. 2 Delegowany poprosi o zdefiniowanie w motywie pojęcia ..morkenng bezpośm”echzi” (czy naleŻy to rozumieć jako wyłącznie marketing bezpośredni dLa celów komerc\jnych czy też chodzi o marketing bezpośredni dotyczący jakiegokolwiek aspektu (politycznego. społecznego. czy dotyczącego kultu religijnego etc.)? Art. 20 (Środki oparte na profiiowaniu) Art. 20 ust. I Delegow any poinformuje, że PL w yrazi obawę, że definicja środków opartych na profilowaniu jest zbyt zawężająca (odnosi się jedynie do środków wwoŁujących skutki prawne lub mąjących istotny wpływ). Delegowany zaznaczy, że pojęcie ..istotny wpŁyw jest pojęciem nieostnin i może prowadzić do naduż ć ze strony podmioów susucych środki prolilowania. Wydaje się. że w kontekście coraz powszechniej stosowanych praktyk IQ prohiowanta. w odniesieniu np. do reklamy behawioralnej. del5nicja profltowanta pow inna być szersza. Uzasadnienie: Detnicja środków opartych na profilowaniu zgodnie z którą są to środki, które m.in. wywoluią skutki prawne dotyczące tej osoby fizycznej budzi wqtpliwoścL Jakie ujęcie sugeruje niebezpieczne zawężenie stosowania regulacji dotyczących profilowania przyznających osobom Fiz”cznym. co do zasady, prawo niepodłegania środkom na nim opar ych do sytuacji, gdy wpływ środków na nim opartych. jest wywierany w sferze praw i obowiązków osób. Projektodawca unijnx zosiawia co prawda pewien margines. w ramach którego za środki oparte na proWowaniu mogą zostać uznane środki inne niż wywołujące skutki prawne. wskazując w dalszej kolejności. iż są nimi także środki mające istotny wpływ. Jednakże wyoce wątpliwe jest. czy przy tak nieostro sformulowanym kryterium zakresem regulacji zostaną sugerującym szerokie możliwości zróżnicowanej wykładni objęte znaczące przypadki stosowania mechanizmu profilowania, istotne w potocznym rozumieniu (jak np. dobieranie konkretnych przekazów reklamowych). Powyższe skłania do postawienia pxtania. czy nacisk na skutki prawne wywołane profilowaniem stanowić powinien istotę regulacji mającej odpowiednio ident) fikow ać to zjawisko i stwarzać odpowiednie gwarancje ochrony przed jego swobodnym rozprzestrzenianiem się. — — — — Art. 21 (Ograniczenia) PL poprosi o wjaśnienie. jak do celu hannonizacji przepisów z zakresu ochrony danych osobowych na się przepis art. 21. umożliwiający KE lub państwom członkowskim ograniczenie zakresu obowiązków i praw przewidzianych w att 5 pLmnkty od a) do c). ami. II20 i art. 32, gdy takie ograniczenie stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie. służący określonym w przepisie celom. Daje on bowiem możliwość dokonania bliżej nieokreślonych odstępstw w prawach narodowych każdego z państw ezlonkowskich w zakresie zasad przetwarzania danych osobowych (art. 5). praw odbiorców, informacji dla odbiorców. czy w końcu prawa do bycia zapomnianym (co ma aspekt ponadnarodo\yy i transgraniczny). Jakie przepisy narodowe będą sWsowane w takich sytuacjach? Art. 22 (Odpowiedzialność administratora) Brak uwag Art. 23 (Uwzględnienie ochrony danych już w fazie projektowania oraz ochrona danych jako opcja domyślna) Art. 23 ust. 3 Delegat zwróci się z prośbą o doprecyzowanie. co mialoby znajdować się w akcie wykonawczym — Art 24 (Współadministratorn) Brak uwag II Art. 25 (Przedstawiciele administratorów nie mających siedziby n Unii) Brak uwag Art 26 (Podmiot przetwarzający) Brak uwag Art. 27 (Przetwarzanie z upoważnienia administratora i podmiotu przetaczającego) Brak uwag Art. 28 (Dokumentacja) art. 28 ust. I z uwagi na możliwą ilość dokumentacji. Delegat zasugeruje wprowadzanie zapisu wskazującego. że dokumentacja może być prowadzona w formie elektronicznej. - art. 28 ust. 4 lit. b niezbędne wydaje się. w celu uniknięcia wątpliwości interpretacyjnych. doprecyzowanie ..działalności pobocznej”. — tjzasadnienie: Przykładowe problemy interpretacyjne mogą mieć miejsce w przypadku świadczenia usług premium i zaangażowania w procesie ich świadczenia integratorów i agregatorów. Z tego powodu podobne problemy interpretacyjne dotyczyć mogą całego coraz bardziej konwergentnego rynku usług telekomunikacyjnych i społeczeństwa informacyjnego. Art 29 (Wspólpraca z organem nadzorczym) Brak uwag Art. 30 (Bezpieczeństwo przehyarzaiiia) Brak uwag Dodatkowe elementy stanowiska do przedstawienia w razie potrzeby: Delegowany poruszy temat definicji zaproponowanych w projekcie. o ile rozpocznie się dyskusja na ten temat oraz następujące elementy: • Zdaniem PL. nie negując uprawnienia Komisji do wydawania aktó%\ delegowanych. ilość aktów przewidzianych projektem rozporządzenia oceniamy jako nieuzasadnioną. PL dostrzega zasadność niektórych z zaproponowanych aktów delegowanych, jednak naszym zdaniem powinno dążyć się do rozstrzygnięcia pewnych. możliwych na dzień dzisiejszy do doprecyzowania. kwestii na poziomic rozporządzenia, co pozytywnie wpłynie na przejrzystość. przewidywalność i pewność prawa. a jednocześnie pozwoli na dokonanie rzetelnej analizy skutków proponowanej regulacji. W niektórych przypadkach znajdujemy powody dla pozosta\%ienia odpowiednich uprawnień KE (np. 12 ocena skutków przedsięwzięcia dla ochrony danych. przenoszenie danych). w innych przypadkach uważamy to za niedopuszczalne (np. art. 6 ust. I lit. fw połączeniu z art. 6 ust. 5. który pozwała Komisji zdefiniować ..prawnie uzasadnione interesy administratora w szczególnych sytuacjach przetwarzania i sektorach przetwarzania inne akty delegowane dotyczą zakresu rzeczowego m.in. tych artykułów. Zdaniem PL. w celu zapewnienia pewności prawnej. tak istotne eternenty muszą być zawarte w samym rozporządzeniu stosownie do postanowień art. 290 TEUE). W sytuacjach, gdy nie uda się uniknąć wydawania aktów detegowanych przez KE. PL zależy, aby proces ich opracow ywania był jak najbardziej transparcntny i prowadzony w sposób. kión pozwoli uwzględnić opinie państw członkowskich. Należ podkreślić, iż zaproponowane przez Komisje Europejska nowe ramy ochrony dainch osobowych, które docelowo mają zastąpić obecnie obowiązujące generalne zasady ochrony danych osobowych określone dyrektywą 9516/WE. \%ydają się w sposob daleko idący regulować zasady przetwarzania danych w nowym środowisku internetowym i telekomunikacyjnym (yide sieci społecznościowe. w\ korzystywanie cookies. profilowanie, prawo do bycia zapomnianym etc.). Z drugiej jednakże strony przepisy wydąją się nie uwzględniać wplywu. jaki tak określone obowiązki mogą w\wrzeć na pozostałą część rynku, gdzie przetwarzanie danych osobowych w sieci Internet nie jest podstawą prowadzenia działalności gospodarczej. Przykładowo. w tym miejscu należy zauważyć. iż wszystkie podmioty przetwarząjące dane osobowe w świetle brzmienia art. 18 projektu. dotyczącego prawa przenoszenia danych, będą miały obowiązek udostępniania kopii danych podlegających przetwarzaniu w podobnie jak techniczne standardy, sposoby i tbrmacie etektronieznym. który procedury będzie mógł zostać oki”eśtony przez Komisję Europejską w drodze aktu wykonawczego. Niezależnie od powyższego. uwagę zwrócić należy na fakt, iż wspomniany obowiązek, co do zasady. wbrew celowi projektowanej regulacji. wydąje się nie zwiększać poziomu ochrony danych osobowych. - — • • — — Dodatkowe elementy wył3cznie do wiadomości strony polskiej: brak SporządziŁ Dariusz Dąbek. Departament Tetekomunikacji MAiC. teł.: 22 522 50 00 Aleksandra (hmieleeka. Departament Społeczeństwa Informacyjnego. MAiC Akceptow ał: Maciej Groń. Zastępca Dyrektora Departamentu - DYRI!KTflR M,Nl1”ERŚF\\A ADt}i iST$ACJI1 Jr M lej CYFRYZACJI ROŃ Zatw ierdzil: Igor Ostrowski. Podsekretarz Stanu w MAiL Data: 26 czerwca 2012 r. 13